Rufen Sie uns an - 24 Stunden

Viren, Trojaner und insbesondere Ransomware sind mittlerweile Alltag im Bereich Cybercrime. Betroffene stellen eine Ransomware-Attacke meist durch das Vorfinden von verschlüsselten Daten fest. Dabei erfolgt der Angriff bzw. die Verschlüsselung der Daten nicht immer sofort nach der Ausbreitung des Trojaners. Manchmal erfolgt die eigentliche Encryption verzögert zu einem bestimmten Zeitpunkt. Bis dahin wird die virtuelle Infrastruktur analysiert um möglichst viele Ressourcen und Daten zu verschlüsseln.

Die Datenrettung bzw. Entschlüsselung der Daten erfolgt sehr individuell. Wir können bei einem Angriff durch Kryptotrojaner keine pauschale Einschätzung zum Aufwand und zu den Möglichkeiten liefern.

Vielmehr geht es um die genaue Analyse des Systems und der Datenträger, auf dem Daten zwangsverschlüsselt wurden. Durch ein Reverse Engineering des Cryptotrojaners gelingt uns in einigen Fällen der Zugriff auf den AES-Sitzungsschlüssel bzw. andere Zugänge, um den Datenbestand letztendlich wieder zu entschlüsseln.

Wir verfügen über Kryptografiespezialisten, die sich ausschließlich mit der Entschlüsselung von Daten und dem Berechnen von Schlüsseln beschäftigen.

Funktionsweise von Ransomware

Je besser der Technische Aufbau und Ablauf von Ransomware Attacken bekannt ist, umso höher sind die Chancen für Ihre Daten!

Zunächst erfolgt der initiale Eintritt der Schadsoftware in fast allen Fällen durch Endgeräte, also s.g. Devices. Das kann beispielsweise über eine infizierte E-Mail erfolgen. Diese E-Mail kann durchaus personalisiert auf die Branche, das Unternehmen oder auch auf einzelne Personen worden sein. Meist sind Anhänge, die ausführbaren Code enthalten der Beginn einer Ransomware Attacke.

Ablauf einer Verschlüsselung durch Kryptotrojaner

  1. Aufbau einer sicheren Kommunikationssitzung
    Über einen asymmetrischen RSA-Schlüssel (öffentlich) wird eine sichere Netzwerkverbindung zum Cybercrime-Server über das Internet aufgebaut. Durch die gesicherte Verbindung (ähnlich wie bei einer https// Webseite) sind sämtliche Daten, die zwischen dem Opfer-System und dem Angreifer-Server ausgetauscht werden, nicht im Klartext analysierbar. Deshalb ist dieser Schritt auch nicht durch eine normale Firewall feststellbar.
  2. Verschlüsselung des Opfer-Systems
    Nach Aufbau der Kommunikationsverbindung wird ein weiterer öffentlicher RSA-Schlüssel vom Command and Control Server des Angreifers angefordert. Aus diesem Schlüssel wird durch die Schadsoftware ein so genannter Sitzungsschlüssel (256-Bit) generiert. Mit diesem Schlüssel erfolgt dann die Verschlüsselung der Daten (der eigentliche Schaden für das Opfer) im 256-Bit AES Verfahren. Die Encryption erfolgt symmetrisch, das heisst schnell und effizient.
  3. Sicherung des Erpressungsschlüssels
    Nach Abschluss der Datenverschlüsselung erfolgt eine weitere Verschlüsselung, nämlich die des geheimen (lokalen) 256-Bit AES Schlüssels. Diese Verschlüsselung erfolgt wieder über den asymmetrischen öffentlichen Schlüssel (aus Punkt 1). Der "verschlüsselte Schlüssel" wird gemeinsam mit den verschlüsselten Dateien und Ordnern lokal gespeichert.
    Der AES Sitzungsschlüssel (der wichtigste für den Anwender!) wird danach aus dem RAM gelöscht, damit möglichst keine Hinweise mehr auf die genaue Vorgehensweise vorhanden sind.
  4. Entschlüsselung (theoretisch nach Zahlung des Lösegelds)
    Um wieder an normal lesbare Daten zu gelangen, ist eine Entschlüsselung mit dem AES Sitzungsschlüssel notwendig. Diesen Schlüssel kann der Erpresser durch seinen privaten Schlüssel (asymmetrisch) aus den zuvor auf dem Opfersystem gespeicherten Daten entschlüsseln. Sobald der AES Sitzungsschlüssels vorliegt, ist eine Entschlüsselung der Daten wieder möglich.
Wichtige Hinweise für Ransomware-Betroffene
  • Folgen Sie keinesfalls den direkten Anweisungen der Erpresser.
    (Auch wenn teilweise sogar ein telefonischer Kontakt möglich ist, können Sie Zusagen im Vorfeld nicht prüfen.
  • Oft sind Bitcoin Adressen bereits verwaist, so dass Ihre Zahlung niemals ankommt. Bitcoin Zahlungen können technisch bedingt auch nicht rückgängig gemacht werden.
  • Setzen Sie sich mit uns schnellstmöglich in Verbindung, damit wir die Verschlüsselung analysieren können.
  • Zur Strafverfolgung empfehlen wir das Einschalten des Verfassungsschutzes. Dadurch können Sie eine Geheimhaltung sicherstellen, was beim Einsatz durch Polizei/LKA/Staatsanwaltschaft aufgrund der behördlichen Vorgehensweise nicht möglich ist.
  • Im Sinne des Schutzes Ihrer Unternehmensinformationen und -daten sollten Sie unbedingt die Geheimhaltung vorher mit Ihrer juristischen Direktion abstimmen.

Update 09/2018: Ransomware GandCrab V4 häufig als getarnte Bewerber E-Mail im Umlauf.

Datenrettung bei Verschlüsselung von GandCap Trojaner - Bewerbung als E-Mail mit Anhang

Der als Bewerbermail getarnte Trojaner wird direkt an Personalabteilungen adressiert. Auf den ersten Blick könnte es durchaus unverdächtig sein, vor allem wenn Unternehmen wie in der aktuellen Personallage regelmäßig Stellenausschreibungen publizieren. Bewerber senden ihren Lebenslauf, Beurteilungen und Zeugnisse oft per E-Mail. Warum auch nicht, vor allem wenn das so platzsparend per Archivformat ZIP möglich ist. Umso heimtückischer ist es, wenn sich plötzlich in der ZIP Datei ein Virus befindet. Sollten Sie eine E-Mail mit einer Bewerbung und zwei Dateien im Anhang erhalten, seien Sie vorsichtig! Im Fall GandCrab handelt es sich um eine .exe Datei, die zunächst noch aktiv ausgeführt werden muss. Erst dann startet sich der VBS Downloader und installiert GandCrab auf dem Windows PC. Die Verschlüsselung der Daten erfolgt allerdings im gesamten Netzwerk, welches über den PC erreichbar ist. Den verschlüsselten Dateien wird die Dateiendung ".krab" angehangen. Daran lässt sich schnell erkennen, ob es sich um den Cryptotrojaner GandCrab handelt.

CTB-Locker-Screenshot-Erpressung-des-Users-nach-Befall

Digitale Schädlinge gibt es mittlerweile unzählige - die wirtschaftlichen Schäden durch befallene Computer sind enorm. Neben Spionage (Wirtschaftsspionage) und Datendiebstahl werden oft auch die Daten von infizierten Datenträgern und Laufwerken teilweise oder vollständig gelöscht oder zerstört. Besonders trickreich gehen so genannte Verschlüsselungstrojaner vor. Eine seit 2014 bekannte Version nennt sich "CTB Locker". Die Infizierung erfolgt auf dem klassischen Weg, meist durch den Aufruf infizierter Webseiten. Nach dem Befall wird der Benutzer über ein Pop-up Fenster über den Befall und die damit einhergehende Verschlüsselung sämtlicher auf der Festplatte oder SSD befindlichen Daten informiert. Im mehrstufigen "Assistenten" wird dann die Möglichkeit eröffnet, gegen Zahlung eines bestimmten Betrages (Lösegeldes) eine Entschlüsselung der Daten herbeizuführen. Das Zahlungsmittel ist in der Regel die Cryptowährung BitCoin. Es werden zwischen 2 und 10 Bitcoins, in einigen Fällen jecoch höhere Werte verlangt. Die Zahlung hat jedoch angeblich innerhalb von 15-30 Minuten zu erfolgen, damit die einwandfreie Rückgabe der Daten ermöglicht wird. Der CTB-Locker, allgemein auch als "Ransomware Onion” bekannt, verwendet selbst verschlüsselte Verbindungen über das Tor-Netzwerk und so genannte Onion-Adressen, die eine Verfolgung durch Behörden erschweren. Bereits zuvor kursierten andere Crypto-Trojaner wie Cryptolocker und CryptoWall im Internet und sorgten bei den Betroffenen für fatale Schäden durch die Verschlüsselung der Daten.

Welche Datenträger sind betroffen?

Die (ungewollte) Verschlüsselung von Daten erfolgt bei Virenbefall auf allen verfügbaren Datenträgern, unter anderem von:

  • Festplatten (auch Datenrettung nach Reparatur der HDD/ bei mechanischem Defekt + verschlüsselten Daten)
  • RAID System
  • NAS/ Netzwerkspeicher
  • Server
  • SSD / andere Flash-Speicher

Welche Daten werden meist verschlüsselt?

Durch den Befall von Encryption-Schädlingen werden je nach Art unterschiedliche Datentypen verschlüsselt. Typisch sind vor allem folgende Bereiche:

  • einzelne Dateien
  • Auswahl bestimmter Dateitypen (z.B. alle jpg Bilddateien bzw. aufgrund des Dateityps vermeintlich wichtige Dateien)
  • bestimmte Ordner / Verzeichnisse (z.B. Eigene Dateien des Benutzers)
  • vollständiges Laufwerk (Volume/ Partition)

Häufige Fragen und Antworten

Gibt es Chancen zur Wiederherstellung von Daten, die durch Trojaner beschädigt oder verschlüsselt wurden?

Ja und Nein. Für die Wiederherstellung von Daten ist es entscheidend, welche Art von Trojaner den Schaden verursacht hat und in welcher Weise die Daten verschlüsselt wurden. Der Datenretter sollte sehr erfahren und mit modernen Verschlüsselungsalgorithmen und deren Aufbau vertraut sein.

Wie lange dauert eine Entschlüsselung und Datenrettungen von durch Krypto-Trojaner verschlüsselten Daten?

Die Entschlüsselung von Daten ist ein sehr aufwändiges und stark fallspezifisches Verfahren. Die Dauer zur Datenwiederherstellung ist meist nicht direkt feststellbar und kann unter Umständen (v.a. im Fall von sicheren Verschlüsselungsverfahren) über mehrere Wochen dauern. Sollten Sie von einem Datenretter eine feste Lieferzusage erhalten, handelt es sich vermutlich nicht um ein realistisches Angebot, da jeder Kryptografie-Experte genau weiß, dass je nach Algorithmus eine Entschlüsselung sehr zeit- und ressourcenaufwändig sein kann.

Wir sind auf die Datenrettung von verschlüsselten Daten spezialisiert und bieten professionelle Hilfe zur Entschlüsselung und Datenwiederherstellung.

Express-Datenrettung und Entschlüsselung

In dringenden Fällen ermöglichen wir schnelle Hilfe durch unseren Express-Service. Das bedeutet, dass wir den betroffenen Computer oder Datenträger noch am gleichen Tag bei Ihnen abholen und eine Diagnose durchführen. Nachdem feststeht, welcher Schaden vorliegt, erhalten Sie umgehend ein Angebot zur Entschlüsselung und Datenrettung. Nach der Freigabe der Kosten setzen wir die Arbeit unmittelbar fort. Die Bearbeitung erfolgt dann durchgehend im 24h-Service auch am Wochenende oder an Feiertagen. Die Realisationszeit ist im Fall von verschlüsselten Daten nicht immer exakt zu ermitteln. Bitte beachten Sie dazu den folgenden Absatz.

Fallstudie CTB Locker - Erfolgreiche Datenrettung und Entschlüsselung

Trojaner-CTB-Locker-verschluesselte-Daten-auf-SSD-Samsung-840Evo-Datenrettung-RecoveryLab

Nachdem wir eine virenverseuchte interne SSD aus einem Notebook eines Kunden erhielten, der einen Befall durch den Trojaner CTB Locker festgestellt hatte, führten wir zunächst eine Diagnose des Schadens innerhalb des Dateisystems durch. Schnell bestätigte sich der Verdacht und das Ausmaß des Schadens konnte ermittelt werden. In mehreren aufwändigen Verfahren wurde durch unsere Kryptographie Experten ein Workflow entwickelt, der die Entschlüsselung der Daten ermöglichte. Diese waren zuvor im Verfahren "Elliptic Curve Diffie–Hellman" (ECDHE) nahezu unwiderbringlich verschlüsselt worden. Normalerweise setzen Trojaner auf AES oder RSA Verschlüsselungen, die ebenfalls sehr sicher, doch bei weitem nicht so stark sind, wie das ECDHE Verfahren. Es konnten alle Daten einwandfrei und konsistent (lesbar) wiederhergestellt werden, so dass der wirtschaftliche Schaden bei unserem Kunden stark verringert wurde.

Benötigte / wiederhergestellte Daten: Excel, PDF Dokumente und kompletter Ordner mit "Eigenen Dateien"

Erste Hilfe nach Datenverlust: Was kann ich tun, wenn ich einen Verschlüsselungs-Trojaner festgestellt habe?

  • Zunächst sollte Ruhe bewahrt werden  - kein voreiliges Handeln!
  • Zahlen Sie keine Lösegeldforderungen an Kriminelle
  • Schalten Sie den Computer direkt aus und starten Sie das Gerät nicht erneut!
  • Kontaktieren Sie einen erfahrenen Kryptografie-Experten zur Datenrettung
  • Unternehmen Sie möglichst keine Experimente mittels Antivirensoftware oder anderen Software-Tools, im schlimmsten Fall kann es zur totalen Zerstörung der Daten kommen und damit zum unwiederbringlichen Datenverlust.

Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.